Partage via


Requête d’appareil

La requête d’appareil vous permet d’obtenir rapidement des informations à la demande sur l’état de vos appareils. Lorsque vous entrez une requête sur un appareil sélectionné, la requête d’appareil exécute une requête en temps réel. Les données retournées peuvent ensuite être utilisées pour répondre aux menaces de sécurité, résoudre les problèmes de l’appareil ou prendre des décisions métier.

Conditions préalables

Pour utiliser la requête d’appareil dans votre locataire, vous devez disposer d’une licence qui inclut Analyses avancées Microsoft Intune. Analyses avancées fonctionnalités sont disponibles avec :

  • Module complémentaire Analyses avancées Intune
  • Microsoft Intune Suite

Pour utiliser la requête d’appareil sur un appareil, l’appareil doit être inscrit dans Endpoint Analytics. Découvrez comment inscrire un appareil dans Endpoint Analytics.

Vous ne pouvez pas refuser les notifications cloud (WNS)

Pour qu’un utilisateur utilise la requête d’appareil, vous devez lui attribuer l’autorisationRequêted’appareils - gérés.

Pour utiliser la requête d’appareil, les appareils doivent être gérés par Intune et appartenant à l’entreprise.

Plateformes prises en charge

La requête d’appareil est actuellement prise en charge uniquement sur les appareils exécutant Windows 10 et versions ultérieures.

Comment utiliser la requête d’appareil

Pour utiliser requête d’appareil, accédez à Appareils et sélectionnez l’appareil sur lequel vous souhaitez utiliser requête d’appareil. Sélectionnez Requête d’appareil sous la section Surveiller .

Les propriétés prises en charge que vous pouvez interroger sont répertoriées dans la section Propriétés . Pour exécuter une requête, entrez une requête Langage de requête Kusto (KQL), puis sélectionnez Exécuter. Les résultats sont affichés dans la zone d’onglet Résultats .

Pour plus d’informations sur Langage de requête Kusto, consultez En savoir plus sur Langage de requête Kusto.

Opérateurs pris en charge

La requête d’appareil prend uniquement en charge un sous-ensemble des opérateurs pris en charge dans le Langage de requête Kusto (KQL). Les opérateurs suivants sont actuellement pris en charge :

Opérateurs de table

Opérateurs scalaires

Fonctions d’agrégation

Fonctions scalaires

Opérateurs de table

Les opérateurs de table peuvent être utilisés pour filtrer, synthétiser et transformer des flux de données. Actuellement, les opérateurs suivants sont pris en charge :

Opérateurs de table Description
count Retourne une table avec un enregistrement unique contenant le nombre d’enregistrements
Distinctes Produit une table avec la combinaison distincte des colonnes fournies de la table d’entrée
jointure Fusionner les lignes de deux tables pour former une nouvelle table en faisant correspondre la ligne pour le même appareil
commander par Trier les lignes de la table d’entrée dans l’ordre par une ou plusieurs colonnes
projet Sélectionnez les colonnes à inclure, renommer ou supprimer, puis insérez de nouvelles colonnes calculées
Prendre Retourner jusqu’au nombre de lignes spécifié
top Retourne les N premiers enregistrements triés par les colonnes spécifiées
Filtre une table en fonction du sous-ensemble de lignes qui répondent à un prédicat

Opérateurs scalaires

Le tableau suivant récapitule les opérateurs :

Opérateurs Description Exemple
== Equal 1 == 1, 'aBc' == 'AbC'
!= N’est pas égal à 1 != 2, 'abc' != 'abcd'
< Moins 1 < 2, 'abc' < 'DEF'
> Plus 2 > 1, 'xyz' > 'XYZ'
<= Inférieur ou égal à 1 <= 2, 'abc' <= 'abc'
>= Supérieur ou égal à 2 >= 1, 'abc' >= 'ABC'
+ Ajouter 2 + 1, now() + 1d
- Soustraire 2 - 1, now() - 1h
* Multiplier 2 * 2
/ Diviser 2 / 1
% Modulo 2 % 1
comme Le côté gauche (LHS) contient une correspondance pour le côté droit (RHS) 'abc' like '%B%'
!Comme LHS ne contient pas de correspondance pour RHS 'abc' !like '_d_'
contains RHS se produit comme une sous-séquence de LHS 'abc' contains 'b'
!Contient RhS ne se produit pas dans LHS 'team' !contains 'i'
startswith RHS est une sous-séquence initiale de LHS 'team' startswith 'tea'
!startswith RHS n’est pas une sous-séquence initiale de LHS 'abc' !startswith 'bc'
endswith RHS est une sous-séquence fermante de LHS 'abc' endswith 'bc'
!endswith RHS n’est pas une sous-séquence fermante de LHS 'abc' !endswith 'a'
et True si et uniquement si RHS et LHS ont la valeur true (1 == 1) and (2 == 2)
ou True si et uniquement si RHS ou LHS a la valeur true (1 == 1) or (1 == 2)

Fonctions d’agrégation

Les fonctions d’agrégation peuvent être utilisées avec l’opérateur de table summarize pour calculer des valeurs résumées. Actuellement, les fonctions d’agrégation suivantes sont prises en charge :

Fonction Description
avg() Retourne la moyenne des valeurs dans le groupe
count() Retourne le nombre d’enregistrements par groupe de synthèse
countif() Retourne le nombre de lignes pour lesquelles le prédicat prend la valeur true.
dcount() Retourne le nombre de valeurs distinctes dans le groupe
max() Retourne la valeur maximale dans le groupe
maxif() À compter de la version 2107, vous pouvez utiliser maxif avec l’opérateur de table summarize.

Retourne la valeur maximale dans le groupe pour lequel le prédicat prend truela valeur .
min() Retourne la valeur minimale dans le groupe
minif() À compter de la version 2107, vous pouvez utiliser minif avec l’opérateur de table summarize.

Retourne la valeur minimale dans le groupe pour lequel le prédicat prend truela valeur .
percentile() Retourne une estimation pour le centile de rang le plus proche spécifié de la population définie par Expr
sum() Retourne la somme des valeurs dans le groupe
sumif() Retourne une somme d’Expr pour laquelle le prédicat prend la valeur true.

Fonctions scalaires

Les fonctions scalaires peuvent être utilisées dans des expressions. Actuellement, les fonctions scalaires suivantes sont prises en charge :

Fonction Description
ago() Soustrait l’intervalle de temps donné de l’heure UTC actuelle
bin() Arrondit les valeurs à plusieurs dateheure multiple d’une taille de compartiment donnée
case() Évalue une liste de prédicats et retourne la première expression de résultat dont le prédicat est satisfait
datetime_add() Calcule un nouveau datetime à partir d’un datepart spécifié multiplié par un montant spécifié, ajouté à un datetime spécifié
datetime_diff() Calcule la différence entre deux valeurs de date et heure
iif() Évalue le premier argument et retourne la valeur du deuxième ou du troisième argument selon que le prédicat a été évalué à true (deuxième) ou false (troisième)
indexof() La fonction signale l’index de base zéro de la première occurrence d’une chaîne spécifiée dans la chaîne d’entrée
isnotnull() Évalue son seul argument et retourne une valeur booléenne indiquant si l’argument prend la valeur d’une valeur non null.
isnull() Évalue son seul argument et retourne une valeur booléenne indiquant si l’argument prend la valeur null
now() Retourne l’heure d’horloge UTC actuelle
strcat() Concatène entre 1 et 64 arguments
strlen() Retourne la longueur, en caractères, de la chaîne d’entrée
substring() Extrait une sous-chaîne d’une chaîne source à partir d’un index jusqu’à la fin de la chaîne
tostring() Convertit l’entrée en représentation sous forme de chaîne

Propriétés prises en charge

La requête d’appareil prend en charge les entités suivantes. Pour en savoir plus sur les propriétés prises en charge pour chaque entité, consultez Schéma de la plateforme de données Intune.

  • BiosInfo

  • Certificat

  • Cpu

  • DiskDrive

  • EncryptableVolume

  • Fileinfo

  • LocalGroup

  • LocalUserAccount

  • LogicalDrive

  • MemoryInfo

  • OsVersion

  • Processus

  • SystemEnclosure

  • SystemInfo

  • Tpm

  • WindowsAppCrashEvent

  • WindowsDriver

  • WindowsEvent

  • WindowsQfe

  • WindowsRegistry

  • WindowsService

Limitations connues

  • La chaîne de résultat d’une requête est limitée à 128 Ko. Si le résultat de votre requête dépasse 128 Ko, le résultat est tronqué. Un message d’erreur vous informe du nombre de lignes tronquées.

  • Vous ne pouvez envoyer que 15 requêtes par minute. Si vous rencontrez une erreur de dépassement de la limite de requêtes , attendez une minute, puis réessayez.

  • Les entrées de requête ont une longueur limitée à 2 048 caractères. Si vous rencontrez une erreur de requête trop longue , affinez votre requête pour qu’elle comporte moins de caractères et réessayez.

  • La fonction scalaire now() ne prend pas en charge le paramètre offset.

  • La fenêtre d’entrée recommande automatiquement les guillemets doubles lorsque seuls les guillemets simples sont pris en charge sur les opérateurs suivants :

    • contains
    • !Contient
    • startswith
    • !startswith
    • endswith
  • L’entité WindowsRegistry ne parvient pas à renvoyer la clé De Registre pour la racine.

  • L’entité WindowsRegistry ne parvient pas à retourner les clés de Registre partagées 64 bits.

  • L’entité WindowsRegistry ne parvient pas à retourner la valeur binaire ValueData.

  • Si vous interrogez des appareils qui s’exécutent sur Windows 10, ils doivent être sur une version de qualité minimale.

    • Si vous exécutez Windows 10 21H2, vérifiez qu’il exécute la version 10.0.19044.3393.

    • Si vous exécutez Windows 10 22H2, vérifiez qu’il exécute la version 10.0.19045.3393.

  • Si plusieurs cartes réseau sont disponibles sur l’ordinateur, seul le premier domaine configuré est retourné.

  • Si le module TPM 2.0 est présent sur l’appareil, activé et activé est toujours retourné avec la valeur TRUE.

  • Si un fichier est actuellement utilisé sur l’ordinateur, les requêtes FileInfo retournent une erreur.

  • Si l’utilisateur final dispose d’un accès administrateur à l’appareil, il peut être en mesure de modifier les informations basées sur le client qui s’affichent dans les résultats de la requête. Par exemple, la version du système d’exploitation et le registre.

Étapes suivantes

Pour plus d’informations, voir :